Ayuda para Bloquear Youtube

juarez_dev

amigo brujonik y como l lograste? yo intente pero tampoco me acepto el bloqueo

Sudwind

@Sudwind:

Services: DNS forwarder

Domain Overrides

Domain: youtube.com
IP address: 125.0.0.1

SAVE

y problema resuelto

sigue esos pasos

BrujoNic

Es Brujonic, je je.

La respuesta ya te la dieron, es implemente eso pero incluyendo el nombre del host.

Por ejemplo, para bloquear youtube, debes poner en name host www, en Domain el dominio youbute.com y en IP, una IP falsa para que de mensaje de error de navegación.

A mi en lo personal, me gustaría mucho que amnarl, diera un ejemplo un poco más real de como bloquea los https con ACL y no simplemente decir que si se puede hacer porque llevo mucho lidiando con ese problema.

Saludos.

j.sejo1

El  problema no es si es https o http, o el squid.

Llevo trabajando mucho tiempo con squid (pero no sobre pfsense) y el problema esta es que cuando usas Squid modo transparente, las conexiones https no pasan por el squid. si no que van directo a internet. Por tal motivo muchos optan usar métodos como enganar por DNS, iptables, etc, engorroso para efecto de quien no tenga claro lo que esta realizando y mas cuando te dicen, quiero que el grupo A tengo youtube, el Grupo B, youtube y facebook y el Grupo C yotube, facebook y video.com,  Allí es cuando se complica el asunto (para efectos administrativos).

Cuando el squid NO es transparente, es sencillo, simplemente juego con las ACL para palabras. asi que,  así pongan https://www.youtube.com  simplemente PNP 9Pagina no permitida).

Lo que comentan del método CONNECT para bloquear https lo he visto en la pagina de Squid, no es claro todavia, pero por alli va el asunto.

bellera

Puede servir esto, dándole un ancho de banda muy pequeño. Lo tenemos en Documentación,

squid - Uso de delay_pools para limitar a Youtube
https://forum.pfsense.org/index.php?topic=74595.0 (en inglés)

amnarl

Pues mi estimado realmente la cosa es despertar el interes de cada quien en documentarse tambien no todo esta servido en la mesa, para aquellas personas que han leido pequeños trozos de trabajar con squid y acls combinadas se que entienden un poco la informacion dada. Y obviamente como indica el compañero j.sejo1 si squid es transparente el trafico https va directo es decir el bloqueo lo haria pfsense si es el firewall central de la red de servicios. Cosa que tambien se ha comentado muchisimo en el forum y creo que hasta mas sencillo de elaborar.

juarez_dev

amigo brujonic pero ami no me bloquea uso en Lan direcciones estáticas sera por eso? :(

NetFcruz

Pienso que crear un alias  de hosts, y otro de maquinas con acceso, lo malo es que bloquea google tambien. y despues crear un par de reglas en el firewall. Asi lo hice pero me bloqueo google, lo mejor es limitar el ancho de banda como te comentan arriba, no soy experto pero ya lo intente.
Saludos

amnarl

Por ello se recomendo la combinacion de acls en squid. Donde una seria o podria sera  revision de url o dominios para evitar bloquear los que no se deseen bloquear y la otra el acceso al CONNECT.

zipcache

@Sudwind:

Services: DNS forwarder

Domain Overrides

Domain: youtube.com
IP address: 125.0.0.1

SAVE

y problema resuelto

y despues tengo que activar el DNS Forwarder? o no es necesario?

ainza

mira lo que yo hice y me funciona es de la siguiente manera

cree 2 alias el primero llamado "block_youtube" y segundo "youtube_permitidos"

en el block_youtube puse la direcciones de donde jala los videos youtube, en el segundo "youtube_permitidos" pongo las ip de las maquinas que quiero que tengan acceso.

van a poder entrar a la pagina de youtube.com pero no se les cargara los videos.

adjunto la captura de la pantallas


afalconr

@ainza:

mira lo que yo hice y me funciona es de la siguiente manera

cree 2 alias el primero llamado "block_youtube" y segundo "youtube_permitidos"

en el block_youtube puse la direcciones de donde jala los videos youtube, en el segundo "youtube_permitidos" pongo las ip de las maquinas que quiero que tengan acceso.

van a poder entrar a la pagina de youtube.com pero no se les cargara los videos.

adjunto la captura de la pantallas

Interesante ! pero podrías poner mas detalles sobre que direcciones tenemos que bloquear ?  ;D

Saludos

ainza

aqui pongo una lista pero la verdad si tienes instalado "LightSquid" revisa ahi te saldrán por donde salen a youtube en tu caso

otra cosa que se me paso decirles que tambien pueden ponder horario para que se active la regla así les podemos dar chanza en una hora de comida o algo así a que puedan acceder si es necesario.  lo hice desde "Schedules" y luego en la regla lo activas en mi caso uso el mismo horario tambien para bloquear facebook.

r8–-sn-0opoxu-ihvl.googlevideo.com
r7---sn-0opoxu-ihvl.googlevideo.com
r6---sn-0opoxu-ihvl.googlevideo.com
r5---sn-0opoxu-ihvl.googlevideo.com
r4---sn-0opoxu-ihvl.googlevideo.com
r3---sn-0opoxu-ihvl.googlevideo.com
r2---sn-0opoxu-ihvl.googlevideo.com
r1---sn-0opoxu-ihvl.googlevideo.com
r8---sn-0opoxu-ihvz.googlevideo.com
r7---sn-0opoxu-ihvz.googlevideo.com
r6---sn-0opoxu-ihvz.googlevideo.com
r5---sn-0opoxu-ihvz.googlevideo.com
r4---sn-0opoxu-ihvz.googlevideo.com
r3---sn-0opoxu-ihvz.googlevideo.com
r2---sn-0opoxu-ihvz.googlevideo.com
r1---sn-0opoxu-ihvz.googlevideo.com
r8---sn-0opoxu-ihvs.googlevideo.com
r7---sn-0opoxu-ihvs.googlevideo.com
r6---sn-0opoxu-ihvs.googlevideo.com
r5---sn-0opoxu-ihvs.googlevideo.com
r4---sn-0opoxu-ihvs.googlevideo.com
r3---sn-0opoxu-ihvs.googlevideo.com
r2---sn-0opoxu-ihvs.googlevideo.com
r1---sn-0opoxu-ihvs.googlevideo.com
r8---sn-0opoxu-ihve.googlevideo.com
r7---sn-0opoxu-ihve.googlevideo.com
r6---sn-0opoxu-ihve.googlevideo.com
r5---sn-0opoxu-ihve.googlevideo.com
r4---sn-0opoxu-ihve.googlevideo.com
r3---sn-0opoxu-ihve.googlevideo.com
r2---sn-0opoxu-ihve.googlevideo.com
r1---sn-0opoxu-ihve.googlevideo.com


periko

Companer que inicio el post, cuantos usuarios usan el proxy en la red donde deseas restringir ciertos dominio a ciertos grupos de usuarios?

afalconr

Se agradece la información mi estimado !  ;D Probaré y te aviso

Saludos!

Finger

Hay mas informacion sobre lo que comenta afalconr?

zipcache

Problema resuelto

milocheri

como lo solucionaste ?

hellspawm1

@zipcache:

Problema resuelto

el resto de nosotros no ha podido, pueden ser un poco mas especificos?

gracias!

amnarl

Saludos mis estimado nuevamente por estos lares, les comento que este tipo de bloqueo es posible realizarlo siempre y cuando tengamos claro cuales son las funciones de un firewall (vale destacar que pfsense es un firewall muy robusto) y como configurarlo de manera optima.

Para el caso especifico de este post el tema de bloqueo de youtube, a continuacion dare algunos detalles de como realizar un bloqueo especifico y las diferentes formas de hacerlo ahora bien si te interesa un tema adicional como por ejemplo: colocar horarios en los bloqueos, bloquear equipos en especificos o grupos de equipos el tema seria otro y obviamente deberias saber y conocer como realizar primeramente el bloqueo del acceso a dominios, ips, o paginas especificas.

Puntos a tomar en cuenta

• Como aca hablamos no solo de un pais especifico sino de todo el mundo debes tener en cuenta que google y youtube son la misma empresa y muchos de su contenido estan detras de las misma ips en algunos paises con lo que un bloqueo realizado por ips puede dejarte sin acceso a google buscando bloquear youtube para ello solo debes asegurarte realizando algunas resoluciones de nombre previo a realizar un aliases de dichas ips y determinar cual seria la forma mas efectiva

• Debes realizar las reglas de acceso al mundo exterior en tu pfsense de manera especifica ejemplo: Acceso a web por http la regla seria protocolo tcp source subred lan, ip o grupo especifico de ips puerto any (tomar muy en cuenta esto a veces sucede que tus clientes entan detras de un router el cual enmascara el trafico y los puertos por los cuales se comunica los desconoces) luego en destination para acceso a todas las direcciones colocas any y port http(80). Esto seria una regla especifica de trafico y es la forma mas adecuada de hacerlas para obtener un mayor control

• Si el bloqueo sera por reglas debes realizar un dns lookup en pfsense o quizas un equipo que este usando a pfsense como dns o a tu dns si tienes uno adicional, luego creas un alias ip del dominio youtube o el que deseas bloquear cabe destacar que haciendolo en pfsense tiene la herramienta de poder crearte de manera rapida con solo unos clics el aliases

• Si el bloqueo lo realizaras por dns debes tener funcionando un dns local, cabe destacar que pfsense puede hacer ese trabajo con el paquete dnsforwarder de manera rapida y efectiva. Y tus clientes solo deben poder hacer resoluciones dns contra tu dns local si desconoces como hacer esto ya seria otro tema y estare publicando como realizarlo, pero basicamente puedo decirte que se trata del mismo tema arriba mencionado reglas especificas en tu subred de servicios

Bloqueo por reglas
Este bloqueo lo vas a realizar ya teniendo lo puntos a considerar claros y ejecutados.
Consiste en crear una regla de esta manera:
PROTO            SOURCE              PORT                  DESTINATION                PORT
  TCP                IP CLIENTE          ANY            ALIASES O IP YOUTUBE        ALIASES PUERTOS NAVEGAR (HTTP, HTTPS)  La accion en esta regla debe ser BLOCK o REJECT

Nota: Si esta regla no te funciona debes estar pasando por alto algunos de los puntos a tener en cuenta, por favor antes de preguntar o postear nuevamente revisalos y chequea que efectivamente estas haciendo todo de manera correcta. Te adjunto imagenes del bloqueo realizado para mi caso y sus resultados

Regla aplicada a un cliente especifico hacia un aliases previamente creado de ips de youtube y aliases de puerto incluyendo (http,https)

Resultado haciendo uso de Action BLOCK

Resultado haciendo uso de Action REJECT

Adicionalmente pueden verificar que se intento entrar via http y via https al destino YOUTUBE, bueno hasta aqui el bloqueo realizado via Reglas de firewall

Bloqueo via dns

Esta forma te permite hacer la resolucion dns al cliente hacia una ip interna boqueando el acceso o mostrando una web informativa de la razon del bloqueo el cual puede ser por multiples causas: restriccion en el servicio, reglas de horario, reglas de oficinas (casos de empresas que te soliciten este servicio para evitar sus empleados ingresen a ciertas webs en horario de trabajo etc).

Basicamente consiste en usar DNSFORWARDER de pfsense como dns de tus clientes, recuerda debes armar tus reglas internas de acceso de manera muy especifica para evitar tus clientes puedan hacer resoluciones dns a otros equipos dentro y fuera de tu red obviando completamente el filtro que estas colocando en tu red de servicios.

Ejemplo de regla para dns y navegacion del cliente en cuestion

Debes hacer que pfsense anule la consultas dns del dominio en cuestion y asuma la resolucion el como si fuera la autoridad en dicho dominio

Aca puedes ver como se hace

Configurar que dnsforwarder a recibir peticion dns del dominio youtube traduzca la misma y le puedes colocar la ip de un servidor web local que implementes para mostrar web informativas del bloqueo etc

Y por ultimo un resultado generado de esta configuracion al intentar buscar el dominio youtube.com, cabe destacar que aqui aplica es la resolucion del nombre por lo que funcionaria sin problemas si lo hacen en http o https

Bueno chicos esto ha sido todo por esta vez espero poder brindarle ayuda en el tema de bloqueo bien sea por dns o firewall.

Saludos desde venezuela su humilde servidor: Amnarlyei Goitia